谷歌云威胁情报团队近日开源了YARA规则和VirusTotal Collection危害指标(IOC),以帮助防御者检测其网络中的Cobalt Strike组件。安全团队还将能够使用这些检测签名识别部署在其环境中的Cobalt Strike版本。
谷歌团队指出,检测Cobalt Strike的确切版本有助于区分合法部署和恶意部署行为,因为大多数攻击者使用的都是Cobalt Strike的破解版本。
在大多数情况下,Cobalt Strike的破解和泄露版本至少落后合法版本一个版本,谷歌通过收集数百个在野外使用的Cobalt Strike暂存器,模板和信标样本,以高度准确地构建基于YARA的检测规则。
“我们的目标是进行高保真检测,以便能够精确定位特定Cobalt Strike组件的确切版本。只要有可能,我们就会建立签名来检测Cobalt Strike组件的特定版本。”谷歌研究者补充道。
谷歌还分享了Sliver的检测签名集合,Sliver是一个合法的开源对手仿真框架,专为安全测试而设计,也被恶意行为者采用作为Cobalt Strike的替代品。
Cobalt Strike(由Fortra开发,以前称为Help Systems)是2012年以来可公开获得的合法渗透测试工具。它被设计为红队的攻击框架,能够扫描组织的基础设施查找漏洞。
虽然Colbalt Strike的开发商试图审查客户,并且表示只会出售用于合法用途的许可证,但随着时间的推移,越来越多的攻击者也获得并共享了Cobalt Strike的破解副本。这导致Cobalt Strike成为网络攻击中最常用的工具之一,可能导致数据盗窃和勒索软件。
在此类攻击中,攻击者会在部署“信标”后执行利用后任务,这些信标为他们提供对受感染设备的持久远程访问。
借助部署在受害者网络上的信标,攻击者可以访问受感染的服务器以收集敏感数据或部署进一步的恶意软件有效载荷。
安全公司Intezer的研究人员还透露,攻击者还开发并一直在使用(自2021年8月以来)他们自己的Linux信标(Vermilion Strike),该信标与Cobalt Strike兼容可以获得在Windows和Linux设备上的持久性和远程命令执行。
厦门商城系统开发 亚马逊卖家应该有遇到过这样的情况,亚马逊买家账户被锁定,导致卖家账户无法登录,这个时候该怎么办呢? 有卖家就成功解锁了账户,下面就来看看这个卖家成功的解锁经验,有需要的卖家可以借鉴下。 1、要求银行对账单,并且必须有信用卡开卡地址。 注意: …
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
